医疗数据安全风险识别与管控

1、医疗数据安全风险识别与管控技术创新，变革未来目录 CONTENTPART 1安全态势PART 2安全要求PART 3PART 4PART 5风险识别安全规划实践思考PART安全态势安全态势信息化内部业务信息的搭建与 管理外部&线上智慧化（互联网+）HISPACSLISEMR医疗信息和资源的跨平 台沟通远程协同平台监管决策平台医联体协作平台云、大、物、智以患者为中心、整合优化共享 做链接、做工具、做生态医院主管部门药企、保险患 者医 生内部&线下医院走向“互联网+”时代， 平台安全和数据安全问题成为关 注的重点。但是医院安全存在以下问题：现有安全技术过于专业，无法 支持医院的管理模式和管理复 杂

2、度医院业务开始向互联网开放， 安全防护措施和主动防御手段 不足，针对互联网医疗web应 用防护，入侵监测未在行业普 及。安全运维工作缺失，补丁和安全风险解决时机滞后，部分机 构的补丁管理依赖于国外的工 具院内资产不清晰，容易产生大 量安全事件和风险机遇&挑战网络化热词：互联网医疗安全态势互联网医疗（互联网医院、互联网诊疗、远程诊疗）特点：全链条社会化，跨行业、跨部门、 跨区域业务模式：传统模式：挂缴查（拓展到图文）；患者需求：医保、线上处方、物流配送；科研教学：随访、慢病管理、患者筛查、科研招募、医生培训等；不同端点：医院、物流配送、药厂药店、患者覆盖广度：社区到三甲数据流通：采集、存储、交换

3、、处理合作模式：自建、第三方合作、第三方运营数据价值：交易、挖掘、再利用（不可否认，合法利用数据，是核心价值吸引力之一）全杂安全态势互联网新模式的脆弱点：不同于传统模式，需针对上述全链条的场景、角色和应用 广度深度，营造安全管控大环境患者隐私：基本信息、疾病信息、位置与轨迹、账号、多模态数据去隐私（影像、可穿 戴设备、远程诊断视频信息）无处藏身黑产威胁：出于政治或经济的目的，攻击、勒索、窃取，剽窃，篡改防不胜防行业自律：不同行业，责任边界划分（主管部门、医保、医疗机构、运维单位、配送链 条、第三方平台、患者，特别是患者端）、数据使用（合法、合规性）责任界定不平衡：快速发展与安全相对滞后、可达成

4、共识的行业规范、在线监管与追溯、医院规 模（二级三级医院投资能力和技术能力）、区域（经济发展、主导推进力度）、医疗机构与 患者（信息不对等、弱约束）先同质化，再个性化安全态势2019年全国两会保障期间，国家卫生健康委委托中电数据针对200余网站的安全扫描和域名安全分析，整理行业互 联网安全情况，辅助国家卫生健康委进行行业安全治理。PART安全标准安全标准智慧医疗电子病历系统功能应用水平分级 评价信息安全保架护航智慧服务4S评价体系智慧管理拟定中公共标准等保2.0行业标准包含在各种评价标准中安全标准等级是否为基本项系统功能评估内容0否无安全措施要求。（1）通过服务器及存储设备统一管理各终端产生和

5、共享的数据，院内网络联通，服务器具有病毒防 护能力；1是（2）服务器部署于独立的安全域，具备网络防控能力；（3）对于患者信息使用具备授权机制，相关信息使用有记录，可追溯；（4）采用用户名、口令的方式实现身份认证。（1）建立数据安全管理制度；（2）服务器、存储等核心设备部署在专用机房内；2是（3）服务器仅开放必要的网络服务端口；（4）系统之间进行数据交互时需要进行授权认证，对敏感数据进行标记，与其他系统进行数据交互 时，可根据敏感标记进行有效控制；（5）具备有效避免越权的措施，具备完整的授权审批管理流程，操作过程可通过系统追溯。（1）数据库放置于独立的安全域，不直接暴露在互联网环境；3否（2）信

6、息系统具备应用层防护能力；（3）跨机构数据使用，须进行审批管理，操作内容可追溯；（4）医师在院外使用患者信息须进行审批管理，操作内容可追溯。（1）互联网环境下患者敏感数据须加密存储，加密必须采用国产加密算法；4是（2）互联网环境下信息系统所有数据须进行加密传输；（3）设有专门的信息安全岗位，定期组织漏洞扫描与渗透测试，并及时修补系统漏洞；（4）使用患者院外信息须有患者电子授权。（1）对外仅保留必要的数据信息，核心及全量数据不对互联网暴露；5是（2）建立数据全生命周期管理体系，从数据产生、加工、存储、使用、销毁各个流程进行管控；（3）采用双因素认证方式，如口令、UKEY，OTP、手机验证码、生物

7、特征等其中的2种。医院智慧服务的评估对象主要 是应用信息系统提供智慧服务 的二级及以上医院，综合评估 医院智慧服务信息系统具备的 功能、有效应用范围、技术基 础环境与信息安全状况。智慧服务数据安全主要体现在：数据采集数据传输数据交换数据存储数据应用数据管理PART风险识别安全环节数据交换安全数据传输安全数据安全管理数据存储安全终端数据安全数据应用安全数据安全医院智慧服务数据全生命周期安全保障体系风险识别终端数量多，管理复杂；终端分布分散，维护困难；终端环境复杂，安全服务保障；终端使用不可控，数据易泄露；终端人员复杂，内部威胁不可知；医院终端数据安全风险风险识别医院数据传输安全风险识别随着医院信

8、息化的发展进程加快，系统与系 统之间、检测设备与系统之间、系统与终端 之间，以及医院与三方合作机构之间存在大 量的数据传输交互，而不安全的数据传输极 易导致传输数据被窃取、篡改、销毁等，存 在极大的安全风险窃取、篡改、销毁服务器服务器终端第三方交换机服务器防火墙检测设备缺乏对跨安全域、内外网、系统的数 据传输安全，无法保证数据传输过程 中的机密性、完整性和可用性防护风险识别医院数据交换安全风险识别缺乏对敏感信息和个人隐私的数据保护；缺乏对原始数据的保护，特别是应用系统数据交换；缺乏数据交换脱敏系统，无法提供事后审计功能，对数据提取、人员操 作、平台规则维护进行审计。植入后门2018年我国境内被

9、植入后门的网 站接近达70186个较2017年大概增长 22.7%2018年社保网站漏洞约 9000万用户信息面临泄露危险2018年多家快递官网约 5400万用户信息泄露风险识别信息泄露网页篡改2018年我国境内被篡改网站接近 达56969个较2017年大概增长53.8%医院数据应用安全风险识别网站WEB应用风险识别医院数据存储安全风险识别医疗行业面临的信息安全威胁之一是医疗系统或医 疗设备存在漏洞，可能被入侵和破坏。由于部分医 院信息系统存在安全风险，勒索病毒受利益驱使， 依然是危害医院的主要安全风险之一在2018年国家网络安全宣传周暨2018年网络安全博览会期发布的医 疗行业勒索病毒专题报

10、告。报告显示，数据灾备、数据库镜像备份、 数据冷备份和数据离线存储是医院主要的数据安全措施，目前至少有 一半医院采用数据备份措施，使得医院遭受勒索攻击时，能及时恢复 数据维持业务正常运转。风险识别医院数据管理安全风险识别安全木桶效应短板院内安全设备和安全系统（防火墙、防病毒系统、IDS/IPS、VPN、WAF、日志审计等） 较好的解决了其关注的某个方面的安全问题。但随着网络应用规模和复杂度的不断提高， 网络中传输的数据量急剧上升，网络攻防对抗日趋激烈，医院内部新的安全问题开始显现， 一旦网络或其他信息基础设施薄弱环节被加以利用，就可能产生各类安全威胁事件。安全审计要求不统一医院现有系统的各安全

11、设备、网络设备和应用系统产生的数据分别是自已定义的，格式不 统一，不能直接对其进行统一的利用。根据国家网络安全法相关规定，日志和告警数据需 要存放至少6个月以上。PART安全规划安全规划-体系132运维体系流程和规范、日常维护、风险评估、 行为管理、应急处置技术体系访问控制、完整性保护、系统和通 信保护、物理与环境保护、检测与 响应、备份与恢复管理体系组织机构、规章制度、人员安全、安全培训数据安全是信息安全体系的一个方面安全规划-思路规划思路业务需求与医院的业务特点结合，了解业 务模式和发展方向，同步规划、 同步建设，例如互联网服务、AI、 科研多中心 威胁识别充分识别内部隐患和外部威 胁，持

12、续追踪最新安全态 势 安全治理明确治理目标，明确责任人， 明确技术路线，明确时间节点。 合规需求遵循国家等级保护规定、参 照相关国家标准，合法合规 使用数据 风险评估了解安全事件所产生的后果， 针对重大风险做出有效控制 计划 动态改进追踪溯源，动态管理，持续 改进 安全规划-重点数据采集数据可靠性防窃取数据存储防篡改防丢失传输与交互数据加密数据提取及分析数据脱敏数据展示及应用数据防护数据流动中安全性薄弱，应该明确的是传输及交互的原则与标准、数据提取及 分析中哪些数据敏感数据不能提取、在数据展示中，哪些是患者隐私不能披露， 数据应用是否需征得患者的授权等问题。安全规划-目标01020403资产分

13、类与风险识别分清数据资产性质，划分不同风 险级别，给出相应对策（分层、 分级、分域），关注新应用、医 疗设备、物联网接入不该丢的不能丢保真和恢复：防篡改，防删 除，应急恢复、容灾备份不让不该拿的被拿走外部威胁，内部窃取 边界防护、权限管理 事中控制，事后追踪不该给的不能给数据使用审批流程 隐私脱敏知情同意 全程留痕安全规划-策略摸清家底整理清晰医院暴漏在互联网 上的信息资产情况，及时规 避风险，避免不应暴漏在互 联网上的业务被暴漏划好边界做好整体边界和内部敏 感区域的防护，防止未 授权的访问行为发生看门上锁做好数据的管理，对于 数据库、大数据平台进 行严格的授权访问，达 到最小可用原则定期巡视

14、定期开展医院漏洞扫描 和风险评估，对互联网 端的扫描和监控更应重 视管好自己安全合规是底线，标准 的等级保护、密码应用、 信息安全管理不能忽视零信任原则：不自动信任内部/外部的任何人、事、物PART实践思考安全规划-实践思考最重要的安全管控大环境营造：数据安全是全局性，需要的是整体安全能力的提升政策上：数据归属、数据使用约束；谁有权对全链条进行安全管控？安全管理规则？伦理学（数据归属，患者知情？）关注相关政策技术上：第三方监管的重要性？全链条监控实操上：不留死角，对不同等级医院在关键环节上的要求应同质化，避免出现破窗；进而兼 顾经济投入，区域化整体投入的必要性，减少重复投资，减少安全管理能力不均衡的问题，加强 整体能力的提升回归到医院端，如何做好相关数据安全管理：管理方面：制度修订、流程修订、规范修订，增加一项新业务的同时进行安全评估和安全加 固，持续安全培训技术方面：摸清数据资产、明确患者隐私保护内容、必要的知情同意、自身安全加固、信息 交换审批与留痕、建立可追溯机制合规方面：互联网医疗需达到等保三级；合规是